RES: Bloquear msn com Iptables por mac address
juliana, a lista de mac é fácil fazer, o pessoal até já te passou como... mas nào acho que só bloqueando a porta 1863 seu msn para.. bloquear msn nào é uma tarefa tão simples, eu mesmo já tentei muitas e muitas coisas, e mesmo conseguindo por um tempinho, sempre surge um outro caminho para conexão.. já tentei com o layer7, por portas, por expressão, mas nunca consegui bloqueá-lo efetivamente.. saiu uma dica no l-d-cas da unicamp uma vez, mas tb está furada... enfim, apesar de vc ter pedido algo simples, o resultado nào será satisfatório.. mas boa sorte.. :-) []'s daniel _ De: Juliana Guisolberto [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 21 de agosto de 2007 11:34 Para: Linux Debian Assunto: Bloquear msn com Iptables por mac address Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana
Re: RES: Bloquear msn com Iptables por mac address
ultimamento o que tenho feito alem dos bloqueios normais, é rodar um exe no usuario (no caso do windows) onde eu mato os executaveis que eu nao quero que rodem. tosco mas funcional. Como eu uso active directory com group polices fica facil limitar tudo por GPO's . Em Quarta 22 Agosto 2007, Daniel escreveu: juliana, a lista de mac é fácil fazer, o pessoal até já te passou como... mas nào acho que só bloqueando a porta 1863 seu msn para.. bloquear msn nào é uma tarefa tão simples, eu mesmo já tentei muitas e muitas coisas, e mesmo conseguindo por um tempinho, sempre surge um outro caminho para conexão.. já tentei com o layer7, por portas, por expressão, mas nunca consegui bloqueá-lo efetivamente.. saiu uma dica no l-d-cas da unicamp uma vez, mas tb está furada... enfim, apesar de vc ter pedido algo simples, o resultado nào será satisfatório.. mas boa sorte.. :-) []'s daniel _ De: Juliana Guisolberto [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 21 de agosto de 2007 11:34 Para: Linux Debian Assunto: Bloquear msn com Iptables por mac address Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana
Re: RES: Bloquear msn com Iptables por mac address
Andre Novelli - Depto de TI escreveu: ultimamento o que tenho feito alem dos bloqueios normais, é rodar um exe no usuario (no caso do windows) onde eu mato os executaveis que eu nao quero que rodem. tosco mas funcional. Como eu uso active directory com group polices fica facil limitar tudo por GPO's . Em Quarta 22 Agosto 2007, Daniel escreveu: juliana, a lista de mac é fácil fazer, o pessoal até já te passou como... mas nào acho que só bloqueando a porta 1863 seu msn para.. bloquear msn nào é uma tarefa tão simples, eu mesmo já tentei muitas e muitas coisas, e mesmo conseguindo por um tempinho, sempre surge um outro caminho para conexão.. já tentei com o layer7, por portas, por expressão, mas nunca consegui bloqueá-lo efetivamente.. saiu uma dica no l-d-cas da unicamp uma vez, mas tb está furada... enfim, apesar de vc ter pedido algo simples, o resultado nào será satisfatório.. mas boa sorte.. :-) []'s daniel _ De: Juliana Guisolberto [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 21 de agosto de 2007 11:34 Para: Linux Debian Assunto: Bloquear msn com Iptables por mac address Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana Pessoal, Uma boa solução que encontrei e resolveram meus problemas, foi a criação de regras no squid e no iptables para fazer este bloqueio. As versões mais novas dos msn fazer um tunel pela porta 80, o que o firewall não consegue bloquear. Por isso além de bloquear as porta nativa do programa, criamos algumas regras que bloqueiam a saída pela porta 80 também, estou mandando o que fizermos, deve funcionar no caso de vcs também. Boa Sorte Pedro IPTABLES # MSN echo CONFIGURACAO DE REGRAS DE MSN - OK iptables -N MSN iptables -A FORWARD -p tcp --syn --dport 1863 -j MSN for i in `cat /etc/squid/arq_conf/m_msn` do iptables -A MSN -s $i -p tcp --dport 1863 -j DROP iptables -A MSN -d $i -p tcp --sport 1863 -j DROP done iptables -A MSN -m limit --limit 1/s -p tcp --syn --dport 1863 -j LOG --log-prefix FRW: ACESSO MSN # SQUID acl MsnP req_mime_type application/x-msn-messenger acl Msn dstdomain gateway.messenger.hotmail.com loginnet.passport.com c.msn.com rad.msn.com 65.54.194.118 207.68.178.61 acl MsnA url_regex .dll acl BloqueadosMsn dstdomain gateway.messenger.hotmail.com loginnet.passport.com http_access allow maquinas_MSN MsnP http_access allow maquinas_MSN MsnA http_access deny MsnP http_access deny Msn http_access deny MsnA -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Bloquear msn com Iptables por mac address
Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana
Re: Bloquear msn com Iptables por mac address
Em Terça 21 Agosto 2007, Juliana Guisolberto escreveu: Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana Juliana, Não seria mais facil colocar todos esses usuarios num range de ips e bloquear o dito range ? porque mac address depois que trocar a placa la vai vc ter que alterar denovo o arquivo... Se fosse eu faria com range de ips ou ate criaria uma outra rede ou v-lan pra isso.
Re: Bloquear msn com Iptables por mac address
Em 21/08/07, Juliana Guisolberto[EMAIL PROTECTED] escreveu: Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Sim, é possivel, eu uso regras assim com MAC também. Você vai precisar de um pouquinho de shell pra isso. Coloque cada MAC num arquivo, um por linha, e depois use um laço for pra varrer o arquivo e inserir uma regra pra cada MAC. #!/bin/bash for mac in `cat arquivo`; do iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 1863 -j DROP fi Isso deve ser suficiente.
Re: Bloquear msn com Iptables por mac address
Sim, é possivel, eu uso regras assim com MAC também. Você vai precisar de um pouquinho de shell pra isso. Coloque cada MAC num arquivo, um por linha, e depois use um laço for pra varrer o arquivo e inserir uma regra pra cada MAC. #!/bin/bash for mac in `cat arquivo`; do iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 1863 -j DROP fi Isso deve ser suficiente. Opa, opa, corrigindo: #!/bin/bash for mac in `cat arquivo`; do iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 1863 -j DROP done De onde eu tirei aquele fi ? Foi mal... =) -- A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original. - Albert Einstein
Re: Bloquear msn com Iptables por mac address
Em Ter, 2007-08-21 às 11:34 -0300, Juliana Guisolberto escreveu: Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito -- iptables -A FORWARD -m mac --mac-source macaddress-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source \etc\macaddress(arquivo aonde está o mac address-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? vc chegou quase lá... for x in $( echo /etc/macadderss) ; do iptables -A FORWARD -m mac --mac-source $x -p tcp --dport 1863 -j DROP done ats Obrigada, Juliana -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear msn com Iptables por mac address
vc chegou quase lá... for x in $( echo /etc/macadderss) ; do iptables -A FORWARD -m mac --mac-source $x -p tcp --dport 1863 -j DROP done Amigo, tem certeza que esse echo aí funciona? Ele não vai só escrever /etc/macadderss ? O comando echo não é usado para exibir arquivos na saída padrão e sim linhas de texto. A não ser pelo done eu troquei por fi, está corrento e funciona sim. Testa aí. ;)
Re: Bloquear msn com Iptables por mac address
Em Ter, 2007-08-21 às 12:00 -0300, Edson Marquezani Filho escreveu: vc chegou quase lá... for x in $( echo /etc/macadderss) ; do iptables -A FORWARD -m mac --mac-source $x -p tcp --dport 1863 -j DROP done Amigo, tem certeza que esse echo aí funciona? Ele não vai só escrever /etc/macadderss ? O comando echo não é usado para exibir arquivos na saída padrão e sim linhas de texto. opps dedo apressado..80)) não é echo e sim cat A não ser pelo done eu troquei por fi, está corrento e funciona sim. ??? segundo o man bash: for name [ in word ] ; do list ; done ou for (( expr1 ; expr2 ; expr3 )) ; do list ; done onde é que vc colocou o fi??? o fi é do comando bash if then /else fi... segundo o man bash: if list; then list; [ elif list; then list; ] ... [ else list; ] fi Testa aí. ;) bem na verdade é para a Juliana testar e não necessita me copiar pois eu estou na lista...80) []s -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear msn com Iptables por mac address
On 8/21/07, paulobruck1 [EMAIL PROTECTED] wrote: vc chegou quase lá... for x in $( echo /etc/macadderss) ; do iptables -A FORWARD -m mac --mac-source $x -p tcp --dport 1863 -j DROP done Não é echo, é cat o comando, das manpages: echo - display a line of text cat - concatenate files and print on the standard output Este laço tem apenas um iterador que é a mensagem /etc/macadders (é macaddress - dois D e dois S) e por isso nã ser um mac válido a regra sequer será criada. -- Max
Re: Bloquear msn com Iptables por mac address
Deu certo. Muito obrigada Juliana Edson Marquezani Filho [EMAIL PROTECTED] 21/08/2007 11:50 To Juliana Guisolberto [EMAIL PROTECTED] cc Linux Debian debian-user-portuguese@lists.debian.org Subject Re: Bloquear msn com Iptables por mac address Sim, é possivel, eu uso regras assim com MAC também. Você vai precisar de um pouquinho de shell pra isso. Coloque cada MAC num arquivo, um por linha, e depois use um laço for pra varrer o arquivo e inserir uma regra pra cada MAC. #!/bin/bash for mac in `cat arquivo`; do iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 1863 -j DROP fi Isso deve ser suficiente. Opa, opa, corrigindo: #!/bin/bash for mac in `cat arquivo`; do iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 1863 -j DROP done De onde eu tirei aquele fi ? Foi mal... =) -- A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original. - Albert Einstein